[슬로우리포트] ‘액티브 리스닝’, 나보다 나를 더 잘 아는 AI에 맞서 개인정보를 지키는 방법.
옆자리 동료에게 “운동화를 새로 사야겠어”, 이렇게 이야기했더니 갑자기 페이스북에 운동화 광고가 계속 뜬다든가 하는 기묘한 경험 해본 적 있나. 페이스북이 내 말을 엿듣는 것 아니냐는 음모론이 있었는데 이런 음모론을 뒷받침하는 주장이 나왔다. 오늘은 ‘액티브 리스닝’이라는 일탈적인 광고 마케팅 기법과 개인정보 보호 이슈를 살펴본다.
이게 왜 중요한가.
- 그동안 의혹으로 떠돌던 스마트폰 도청 음모론이 구체적인 정황으로 드러난 건 처음이다.
- 페이스북이 도청한다는 건 아니지만 도청으로 얻은 정보가 페이스북 광고 등에 활용되고 있을 가능성이 있다.
새롭게 제기된 의혹.
- 404미디어라는 인터넷 신문이 콕스미디어그룹(CMG)의 디지털 광고 부서의 프레젠테이션(피치 덱) 자료를 공개했다. (유료 기사다.)
- 한 마디로 우리 이런 거 할 수 있으니 우리에게 광고해라, 이런 목적의 회사 홍보 자료라고 할 수 있다. Cox는 지난해 기준으로 매출 210억 달러(28조 원) 규모의 미디어 기업이다.
- “예측적 오디언스 테크놀로지(predictive audience technology)”라고 소개하고 있다. 스마트폰 마이크로폰으로 대화 내용을 수집해서 타깃 오디언스의 행동 패턴을 예측한다는 내용이다. 경쟁자들보다 좀 더 앞서갈 수 있다고 소개하고 있다.
- 영국의 가디언이 이런 해설 기사를 썼다. “음모론자들이여, 당신들이 옳았다.”
- 언론마다 용어가 조금씩 다른데 ‘염탐(snooping)’이라고도 하고 ‘도청(eavesdropping)’이라고 쓴 곳도 있다.
구체적으로 내용을 살펴볼까.
- 470개 이상의 데이터 소스를 수집해서 분석한다고 한다.
- 특정 지역의 고객 목록을 생성하고, 이를 디지털 광고 플랫폼에 업로드하여 타깃팅을 한다.
- 스트리밍 TV나 오디오, 디스플레이 광고, 소셜 미디어, 구글, 모바일 광고 등등 다양한 플랫폼에서 고객에게 노출한다. 내가 보고 듣는 모든 것이 나를 타깃으로 한 맞춤형 개인화 광고일 수 있다는 이야기다.
- 10마일 반경 내 타깃팅 데이터 세트는 하루에 100달러, 20마일 반경은 하루 200달러를 받는다.
불법은 아닌가.
- 합법이라고 주장한다. 이용자 약관의 작은 글씨에 데이터 수집을 허용한다는 조항이 포함된 경우가 많다. 녹음에 동의한다는 약관에 ‘OK’를 눌렀다면 그런 게 있는 줄도 몰랐다고 발뺌해 봐야 소용없다.
- 소개 자료에 이런 대목이 있다. “우리는 당신이 무슨 생각을 하는지 알고 있습니다. ‘액티브 리스닝(Active Listening)’은 합법적인가요? 네. 그렇습니다. 휴대폰과 장치가 귀하의 말을 듣는 것은 합법적입니다. 새로운 앱을 다운로드하거나 업데이트할 때 소비자에게 작은 글씨로 된 여러 페이지의 사용 약관이 표시되는 경우 ‘액티브 리스닝’이 포함되는 경우가 많습니다. 이것은 흑마술이 아니라 AI입니다.”
- 지금은 삭제되고 없는 서비스 안내 페이지가 아카이브에 남아있는데, 이런 내용이다. “의도의 힘(power of intent)을 이용하면 관련성과 ROI(투자 대비 수익률)가 높아진다. 예측적인 전략이 필요하다.”
- 구매자 페르소나를 만들어 타깃 고객의 유형을 만들고 관련 키워드를 식별한다는 설명이다.
- 논란이 되자 “익명화된 데이터 세트 외에 어떤 대화도 엿듣거나 수집하지 않는다”고 해명했지만 애초에 왜 그런 광고를 내보냈는지 설명하지 않았다.
페이스북과 구글 등의 책임은 없나.
- 구글과 아마존, 페이스북의 파트너라고 소개했는데, 이들 기업은 사실이 아니라고 반박했다.
- 페이스북은 이용자의 마이크를 활성화하지 않는다고 강조했다. “문제가 된 업체는 광고 프로그램 파트너가 아니었다”면서 “제휴 약관 위반이 아닌지 확인 중”이라고 해명했다. 아마존도 협력한 적 없다고 부인했다. 구글은 아예 파트너에서 제외했다고 밝혔다. 다들 서둘러 꼬리를 자르는 느낌이다.
- 구체적으로 어느 앱에서 어느 정도로 개인정보를 수집했는지는 확인된 바 없다.
- 아르스테크니카는 “소름 끼치지만 불가능하다고 할 수는 없다(Creepy, but not impossible)”고 지적했다. 의혹이 완전히 해소되지는 않은 상태다. 할 수 있지만 하지 않는다는 정도다.
기술 발전이 어느 정도라고 보나.
- 광범위하게 도청이 이뤄지고 있었을 가능성도 있다, 하지만 증거는 없다, 이렇게 정리할 수 있다.
- 충분히 경계해야겠지만 과장됐을 가능성도 있다. 두 가지 이유가 있다. 첫째, 이미 추적 기술이 잘 발달해 있어 데이터가 충분히 축적된 상태다. 내가 운동화를 사고 싶어한다는 것쯤은 이미 알고 있을 수도 있다. 둘째, 주파수 환상(frequency illusion)일 수도 있다. 바더-마인도프 현상(Baader–Meinhof phenomenon)이라고도 하는데 신경 쓰면 더 자주 보이게 된다. 운동화 광고가 원래 많았을 수도 있다.
- 404미디어가 공개한 한 팟캐스트가 있는데, 마인드시프트(MindSift)라는 기업의 창업자 가운데 한 명이 기술을 소개하는 내용이다.
- 아래 영상은 지금은 삭제된 상태다.
- 이 팟캐스트에 따르면 아예 백그라운드 액세스를 요청하는 경우도 있다. 일단 동의하고 나면 우리가 그 앱을 쓰지 않을 때도 하루 종일 계속 우리의 대화 내용을 엿들을 수 있다는 이야기다.
아이폰과 안드로이드폰의 차이는 없나.
- 아이폰도 본질적으로 차이가 없다. 디바이스 보안의 문제가 아니라 이용자가 스스로 접근 권한을 허용하기 때문에 문제가 되는 것이다.
- iOS는 마이크나 카메라가 사용 중일 때 상태 표시줄에 주황색 또는 녹색 점을 표시한다. 안드로이드는 마이크에 액세스할 때 경고 표시가 뜨기도 한다. 평소에 이런 표시를 신경 쓰는 사람은 많지 않지만 완전히 몰래 녹음하는 것은 OS 차원에서 막혀 있다고 봐도 된다.
- 결국 신뢰의 문제라고 할 수 있다. 만약 디바이스나 플랫폼 차원에서 조직적인 도청과 내용 분석이 이뤄졌다면 문을 닫아야 할 사안이다.
- 페이스북의 경우 감정 실험(2012년에 실험, 2014년에 알려짐)이 논란이 된 적 있다. 페이스북 이용자 69만 명의 뉴스 피드를 조작하는 방식으로 감정 전이 현상을 실험한 바 있다. 슬픔과 기쁨 등 뉴스 피드의 분위기에 따라 이용자의 감정 상태가 달라진다는 사실을 검증하기 위해 인위적으로 대조군을 설정하고 뉴스 피드를 조작했다는 사실이 드러났다.
규제할 방법은 없나.
- 유럽연합의 데이터 보호법(GDPR)은 명시적이고 사전적인 동의를 얻어야 한다고 규정하고 있다. 데이터의 수집과 활용은 투명하게 공개해야 한다.
- 미국 캘리포니아의 개인정보보호법(CCPA)은 3자 판매를 금지하고 있다.
- 하지만 어떤 경우든 ‘모든 쿠키 허용’ 버튼을 클릭하는 순간 상당 부분 본인 책임이 된다.
빅 테크 기업의 개인정보 이슈가 어제오늘 일이 아니다.
- 핵심은 합칠수록 정확해진다는 거다.
- 빅데이터 과학자인 마이클 코신스키에 따르면 페이스북 ‘좋아요’가 10개 있으면 옆자리 동료보다 나를 더 잘 알게 된다. 70개가 모이면 친구나 룸메이트보다 나를 더 잘 알게 된다. 150개면 가족보다, 300개면 배우자보다 더 많은 정보를 알려준다.
- 페이스북과 이메일, 아마존(쇼핑) 등의 정보를 결합하면 욕망과 습관, 삶의 만족도, 인간관계 등 다양한 정보를 얻을 수 있다. 그런데 은밀한 대화 내용까지 털어간다면?
캐임브리지 애널리티카도 비슷한 수법을 쓰지 않았나.
- 영국의 브렉시트에 결정적인 역할을 했다는 평가를 받는다.
- 내부 고발자의 폭로로 알려졌다. 페이스북에서 성격 테스트를 뿌렸는데 27만 명 이상이 참여했고 5000만 명의 개인정보가 유출됐다. 설문 응답자뿐만 아니라 친구들 정보까지 긁어갔기 때문이다.
- 처음에는 단순히 공개된 프로필만 긁어간 줄 알았는데 설문 응답자의 뉴스피드와 타임라인까지 긁어갔다. 페이스북 친구들이 쓴 글과 ‘좋아요’, 위치 정보까지, 이렇게 수집한 정보가 여론 조작 업체 캐임브리지 애널리티카에 흘러 들어갔다.
미국 대선에 영향을 미쳤다는 의혹이 있었다.
- 미국인 2억5000만 명의 데이터 모델을 만들었다고 한다.
- 이를테면 조지아주에서는 44만 명을 ‘설득 가능’한 그룹으로 분류했는데 트럼프 캠프는 이들에게 900만 건의 맞춤형 광고를 쏟아부었다.
- 76%가 백인 여성이었는데 이들은 국가 부채와 임금, 교육, 세금에 관심이 많았지만 멕시코 국경 장벽에 대해서는 듣고 싶어 하지 않는 사람들이었다. 트럼프 유세팀은 ‘설득 가능’한 그룹이 많은 지역을 집중적으로 방문하고 그렇지 않은 지역은 무시했다. 이들에게는 멕시코를 언급하지 않는 대신에 감세를 강조하는 전략을 썼다.
- 힐러리(당시 민주당 후보)가 흑인 청소년 범죄를 이야기하면서 이런 말을 했다. “이들은 단순한 범죄 조직이 아니라 최상위 포식자로 불리는 아이들입니다. 양심도 없고 공감도 없습니다.” 이걸 광고로 만들어서 흑인들에게 집중적으로 노출했다. 이래도 뽑을 거냐는 메시지였다.
- 마크 저커버그(메타 CEO)는 의회에 출석해서 개인정보 보호에 실패했다는 사실을 인정했다.
핵심은 개인화와 타깃 마케팅이다.
- 이 그림은 캐임브리지 애널리티카가 미국인을 50가지 유형으로 분류한 것이다.
- 경합 지역에서 ‘신경과민’ 그룹으로 분류된 30만 명을 타깃으로 설정해서 첫 번째 집단에는 두려움을 조장하는 제목의 메일을 보내고 두 번째 집단에는 안심시키는 제목의 메일, 세 번째 집단에는 두려움과 안심을 모두 주는 메일, 네 번째와 다섯 번째 집단에는 포괄적인 제목의 메일을 보냈는데 결과는 두려움을 주는 메시지가 가장 효과적이었다고 한다. 두려움과 안심을 모두 주는 메일은 거의 효과가 없었다.
- “힐러리를 뽑으면 미국에 파멸이 온다”거나 “힐러리가 미국을 망칠 것이다” 같은 제목의 메일을 이들 ‘신경과민’ 그룹에 집중적으로 살포했다. 트럼프를 찍게 하기 위한 캠페인뿐만 아니라 힐러리를 찍을 가능성이 큰 유권자들이 투표를 포기하게 만드는 캠페인을 병행했다.
문제는 페이스북이 이런 정보를 제공했다는 것 아닌가.
- 알렉산더 닉스(캐임브리지 애널리티카 CEO)가 이런 말을 했다. “끔찍하게 들리겠지만 꼭 사실일 필요는 없다. 사람들이 믿기만 하면 된다.”
- “우리는 거의 모든 미국인의 성격을 예측할 수 있게 됐다. 성격은 행동 양식을 끌어내고 행동 양식은 투표에 영향을 미친다.”
캐임브리지 애널리티카 이후 달라졌나.
- 개인정보 제공이 까다로워진 것은 사실이다. 서드파티 사업자들이 임의로 타임라인을 긁어갈 수 없게 막혔다.
- 이제는 나보다 나를 더 잘 아는 인공지능의 시대로 진입하고 있다.
- 최근에는 드림 인큐베이션이라고 인셉션 비슷한 마케팅 기법도 논란이 되고 있다. 광고주들이 무의식의 영역을 침범하지 않도록 가이드라인을 만들어야 한다는 요구도 있었다. 호주에서는 잠재의식 광고를 금지하고 있다. 미국에서도 기만적인 광고를 금지하고 있는데 드림 인큐베이션도 여기에 해당할 수 있다.
알고리즘이 지배하는 세상이다.
- 페이스북은 몇 차례 알고리즘을 바꾸면서 사람들이 화를 내고 괴로워할수록 페이스북에 더 오래 머문다는 사실을 확인했다. 페이스북에 머무는 시간이 길어질수록 의심과 불안, 분노, 좌절에 빠지는 것처럼 느꼈다면 그건 정확히 페이스북이 의도한 바다.
- 10대 여성 32%가 “인스타그램이 나를 비참하게 만든다”라고 답했다는 조사 결과도 있었다(인스타그램은 페이스북 자회사다). 화려한 인플루언서들과 비교하면서 섭식 장애에 빠지거나 자존감이 떨어지게 된다는 분석이다.
인공지능 스피커도 항상 우리 대화를 듣고 있지 않나.
- 인공지능 스피커도 설정을 조정할 수 있다. ‘헤이 시리’나 ‘알렉사’ 같은 웨이크 워드만 허용하고 다른 말을 듣지 못하도록 제한할 수 있다. 기본 옵션은 항상 듣게 돼 있다. 일단 스피커를 깨우고 난 다음 명령어는 자동으로 녹음된다.
- 전문가들은 AI 스피커가 해킹과 도청의 위험이 크다고 경고하고 있다. 많이 연결할수록 위험하다. 해커가 공기 청정기를 켜거나 끈다고 해서 특별히 위험할 건 없지만 알 수 없는 위험을 경계해야 한다.
- 라우터를 이용한 해킹과 무단 도용의 위험이 있다.
해법은?
- 정기적으로 앱 권한을 확인하고 차단할 필요가 있다. 의심스러운 앱은 깔지 않는 게 좋고. 깔았다면 지우는 게 좋다. AI 스피커는 정기적으로 명령 히스토리를 삭제해야 한다. 내가 좋아하는 음악은 물론이고 가족 관계와 생활 패턴, 취향이 고스란히 담겨 있다.
- IoT 장치와 데이터 네트워크를 분리하는 것도 좋다. 보안 장치(출입문 등)는 연결하지 않는 게 좋다.
- 라우터 차원에서 WPA2 암호화는 필수다.
- 계속해서 개인정보가 털린다고 생각하고 반복해서 초기화하고 암호를 바꾸고 정보를 관리해야 한다.
- 유럽과 미국의 개인정보 보호 규제처럼 이용 약관과 별개로 개인정보의 남용을 제한하는 최소한의 안전장치가 필요하다. 이용 약관에서 광범위한 개인정보 침해를 허용하지 않도록 가이드라인을 만들어야 한다. 개인정보 수집과 활용 전반에 관한 투명성과 공개 의무를 빅 테크 플랫폼 사업자에 강제하는 입법도 고려할 수 있다.
- 기술의 진화를 제도가 따라가지 못하고 있다. 이럴 때일수록 권리 보호의 마지노선을 설정하고 제도와 기준을 마련하는 일이 중요하다. 그 일을 누가 하나? 한국에서는 방송통신위원회가 해야 한다.